EuGH C‑184/20: Ver­ar­bei­tung beson­de­rer Kate­go­rien per­so­nen­be­zo­ge­ner Daten auch bei mög­li­chen Schlüs­sen auf sen­si­ble Informationen

Der EuGH hat am 1. August 2022 einen Ent­scheid auf Vor­la­ge eines litaui­schen Ver­wal­tungs­ge­richts gefällt, wor­in er die Ver­ar­bei­tung von Daten, die auf sen­si­ble Infor­ma­tio­nen schlie­ssen las­sen, dem stren­gen Regime für beson­de­re Kate­go­rien per­so­nen­be­zo­ge­ner Daten unter­stellt (Art. 9 DSGVO).

Aus­gangs­la­ge

Zur Ver­mei­dung von Inter­es­sen­kon­flik­ten und zur Bekämp­fung der Kor­rup­ti­on sind nach litaui­schem Recht unter ande­rem Lei­ter von Ein­rich­tun­gen, die öffent­li­che Mit­tel erhal­ten, zur Abga­be einer «Erklä­rung über pri­va­te Inter­es­sen» ver­pflich­tet. Ein Lei­ter einer sol­chen Ein­rich­tung ver­wei­ger­te die Abga­be der Erklä­rung, unter ande­rem weil die Ver­öf­fent­li­chung von in der Erklä­rung ent­hal­te­nen Infor­ma­tio­nen auf der Web­site der zustän­di­gen Kom­mis­si­on sein Recht auf Ach­tung des Pri­vat­le­bens sowie das der ande­ren Per­so­nen, die er gege­be­nen­falls in sei­ner Erklä­rung zu nen­nen hät­te, missachte.

Rechts­grund­la­ge für die Verarbeitung

Die erste, hier weni­ger inter­es­sie­ren­de Fra­ge betraf die Rechts­grund­la­ge der Ver­öf­fent­li­chung auf der Web­site der zustän­di­gen Behör­de, wozu der EuGH die Vor­aus­set­zun­gen von Art. 6 Abs. 1 UAbs. 1 lit. c sowie Abs. 3 DSGVO (Erfül­lung einer recht­li­chen Ver­pflich­tung) im Lich­te der ein­schlä­gi­gen Grund­rech­te prüfte.

Die im frag­li­chen Gesetz vor­ge­se­he­ne Online-Ver­öf­fent­li­chung die­ne dem im öffent­li­chen Inter­es­se lie­gen­den Ziel der Ver­mei­dung von Inter­es­sen­kon­flik­ten und der Bekämp­fung von Kor­rup­ti­on im öffent­li­chen Sek­tor und sei geeig­net, zur Ver­wirk­li­chung der ange­streb­ten Zie­le bei­zu­tra­gen. Aller­dings feh­le es in vie­ler­lei Hin­sicht an der Erfor­der­lich­keit der Daten­ver­ar­bei­tung. Mit Blick auf den Daten­mi­ni­mie­rungs­grund­satz gehe es über das erfor­der­li­che Mass hin­aus, Daten über den Ehe­gat­ten, Lebens­ge­fähr­ten oder Part­ner sowie über enge Ver­wand­te oder ande­re bekann­te Per­so­nen, die einen Inter­es­sen­kon­flikt begrün­den könn­ten, nament­lich zu publi­zie­ren. Gene­ri­sche Anga­ben über den Ehe­gat­ten, Lebens­ge­fähr­ten oder Part­ner zusam­men mit den ent­spre­chen­den Anga­ben der Inter­es­sen sei­en ausreichend.

Bei der Online-Ver­öf­fent­li­chung hand­le es sich um einen schwer­wie­gen­den Ein­griff in die Grund­rech­te, weil sich aus den Daten Infor­ma­tio­nen über bestimm­te sen­si­ble Aspek­te des Pri­vat­le­bens der betrof­fe­nen Per­so­nen ablei­ten las­sen und die Ver­öf­fent­li­chung zur Fol­ge habe, dass die­se Daten im Inter­net für eine poten­zi­ell unbe­grenz­te Zahl von Per­so­nen, unge­ach­tet ihrer Moti­ve, frei zugäng­lich sei­en. Vor die­sem Hin­ter­grund ste­he die DSGVO ins­be­son­de­re einer Online-Ver­öf­fent­li­chung von namens­be­zo­ge­nen Anga­ben zu ande­ren Per­so­nen, die gege­be­nen­falls in der Erklä­rung zu nen­nen sind, entgegen.

Ver­ar­bei­tung beson­de­rer Kate­go­rien per­so­nen­be­zo­ge­ner Daten

Im Rah­men der zwei­ten Vor­ab­ent­schei­dungs­fra­ge hat­te der EuGH zu beur­tei­len, ob auch die Online-Ver­öf­fent­li­chung von Daten, die indi­rekt Auf­schluss über sen­si­ble Infor­ma­tio­nen geben kön­nen, dem grund­sätz­li­chen Ver­ar­bei­tungs­ver­bot von Art. 9 Abs. 1 DSGVO unter­ste­hen. Vor­lie­gend ging es um namens­be­zo­ge­ne Anga­ben über den Ehe­gat­ten, Lebens­ge­fähr­ten oder Part­ner, aus denen sich Infor­ma­tio­nen über das Sexu­al­le­ben oder die sexu­el­le Ori­en­tie­rung des Erklä­rungs­pflich­ti­gen und des­sen Ehe­gat­ten, Lebens­ge­fähr­ten oder Part­ner ablei­ten liessen.

Der EuGH betrach­te­te zunächst den Wort­laut von Art. 9 Abs. 1 DSGVO (und Art. 8 Abs. 1 DSRL) und hielt fest, dass:

[…] die Ver­wen­dung des Verbs ‘her­vor­ge­hen’ in die­sen Bestim­mun­gen dafür [spricht], dass eine Ver­ar­bei­tung erfasst ist, die sich nicht nur auf ihrem Wesen nach sen­si­ble Daten bezieht, son­dern auch auf Daten, aus denen sich mit­tels eines Denk­vor­gangs der Ablei­tung oder des Abgleichs indi­rekt sen­si­ble Infor­ma­tio­nen erge­ben, wohin­ge­gen aber die Prä­po­si­tio­nen ‘zu’ und ‘über’ bzw. die Ver­wen­dung eines Kom­po­si­tums zum Aus­druck zu brin­gen schei­nen, dass eine direk­te­re Ver­bin­dung zwi­schen der Ver­ar­bei­tung und den betref­fen­den Daten, bei denen auf ihr ori­gi­nä­res Wesen abzu­stel­len ist, bestehen muss.

Nach­dem sich das Verb «her­vor­ge­hen» ledig­lich auf einen und die Prä­po­si­tio­nen «zu» und «über» auf einen ande­ren Teil der beson­de­ren Kate­go­rien per­so­nen­be­zo­ge­ner Daten bezie­he, hät­te eine wort­ge­treue Aus­le­gung zur Fol­ge, dass eine Unter­schei­dung je nach Art der betrof­fe­nen sen­si­blen Daten vor­zu­neh­men wäre. Dies stün­de jedoch nicht im Ein­klang mit einer syste­ma­ti­schen Ana­ly­se der Bestim­mun­gen, ins­be­son­de­re mit Blick auf Art. 4 Ziff. 15 DSGVO und Erwä­gungs­grund 35 DSGVO, die den Gesund­heits­da­ten auch Daten zurech­nen, aus denen Infor­ma­tio­nen über den Gesund­heits­zu­stand hervorgehen.

Ausser­dem spre­che der Zweck der DSGVO, ein hohes Schutz­ni­veau der Grund­rech­te und Grund­frei­hei­ten der betrof­fe­nen Per­son bei Daten­ver­ar­bei­tun­gen zu garan­tie­ren, für eine wei­te Aus­le­gung. Eine ein­schrän­ken­de Aus­le­gung wür­de hin­ge­gen dem (auch in EG 51 fest­ge­hal­te­nen) Zweck von Art. 9 Abs. 1 DSGVO zuwi­der­lau­fen, einen beson­de­ren Schutz gegen­über Daten­ver­ar­bei­tun­gen zu gewähr­lei­sten, bei denen auf­grund der beson­de­ren Sen­si­bi­li­tät der ver­ar­bei­te­ten Daten ein beson­ders schwer­wie­gen­der Ein­griff in die Grund­rech­te auf Ach­tung des Pri­vat­le­bens und Schutz der per­so­nen­be­zo­ge­nen Daten droht.

Aus die­sen Grün­den stel­le die Online-Ver­öf­fent­li­chung von per­so­nen­be­zo­ge­nen Daten, wel­che die sexu­el­le Ori­en­tie­rung indi­rekt zu offen­ba­ren ver­mö­gen, eine Ver­ar­bei­tung beson­de­rer Kate­go­rien per­so­nen­be­zo­ge­ner Daten dar.

Anmer­kun­gen

Die Fra­ge, ob die Mög­lich­keit von Rück­schlüs­sen auf sen­si­ble Infor­ma­tio­nen für die Qua­li­fi­ka­ti­on als beson­de­re Kate­go­rie per­so­nen­be­zo­ge­ner Daten genügt, ist in der Lite­ra­tur nicht unum­strit­ten. Den­noch über­rascht das Urteil des EuGH wenig, nach­dem die­ser ger­ne den Zweck der DSGVO betont, ein hohes Schutz­ni­veau zu gewähr­lei­sten – ein Tot­schlag­ar­gu­ment zugun­sten von wei­ten Aus­le­gun­gen von Schutzbestimmungen.

Nicht rest­los zu über­zeu­gen ver­mag auch das syste­ma­ti­sche Argu­ment, wes­halb kei­ne Unter­schei­dung unter den beson­de­ren Kate­go­rien per­so­nen­be­zo­ge­ner Daten vor­zu­neh­men ist, zumal sich die zitier­ten Bestim­mun­gen (Art. 4 Ziff. 15 DSGVO und EG 35 DSGVO) aus­schliess­lich auf Gesund­heits­da­ten bezie­hen. Die Unter­schei­dung zwi­schen Daten, bei denen das Her­vor­ge­hen sen­si­bler Infor­ma­tio­nen genügt, und den übri­gen Daten ist im Wort­laut von Art. 9 Abs. 1 DSGVO deut­lich ange­legt. Unbe­rück­sich­tigt lässt der EuGH bei sei­nen Aus­füh­run­gen zum Zweck von Art. 9 Abs. 1 DSGVO, dass der von ihm zitier­te EG 51 DSGVO von per­so­nen­be­zo­ge­nen Daten spricht, die ihrem Wesen nach hin­sicht­lich der Grund­rech­te und Grund­frei­hei­ten beson­ders sen­si­bel sind. Wie ein Teil der Leh­re dafür­hält, wären ent­spre­chend mög­li­che Rück­schlüs­se nicht zu berücksichtigen.

Wie weit sich das Urteil ver­all­ge­mei­nern lässt, ist frag­lich. Zum einen lie­ssen sich die sen­si­blen Infor­ma­tio­nen über die sexu­el­le Ori­en­tie­rung vor­lie­gend leicht ablei­ten und zum ande­ren ging es um eine Ver­öf­fent­li­chung von Daten, in deren Anschluss sich natur­ge­mäss die wei­te­re Ver­wen­dung der Daten nicht kon­trol­lie­ren lässt. Es erscheint daher denk­bar, dass der EuGH in einem ande­ren Kon­text mög­li­che Rück­schlüs­se nicht als genü­gend erach­tet. Dies wür­de denn auch der in der Leh­re ver­schie­dent­lich ver­tre­te­nen Mei­nung ent­spre­chen, bei der Qua­li­fi­ka­ti­on der beson­de­ren Kate­go­rie per­so­nen­be­zo­ge­ner Daten auch den Ver­ar­bei­tungs­kon­text und die Absicht des Ver­ant­wort­li­chen zu berücksichtigen.

Für das Schwei­zer Recht stellt sich die­sel­be Fra­ge bei den beson­ders schüt­zens­wer­ten Per­so­nen­da­ten. Da der Wort­laut von Art. 3 lit. c DSG – im Gegen­satz zu Art. 9 Abs. 1 DSGVO («her­vor­ge­hen») – kei­nen Hin­weis ent­hält, dass auch mög­li­che Rück­schlüs­se genü­gen, lässt sich in Fra­ge stel­len, ob dies im Schwei­zer Recht aus­reicht. Im Schluss­be­richt betref­fend Post­fi­nan­ce (dazu haben wir berich­tet) berück­sich­tig­te der EDÖB die Aus­wer­tungs­mög­lich­keit, ver­nein­te aber mit Blick auf den Bear­bei­tungs­kon­text das Vor­lie­gen beson­ders schüt­zens­wer­ter Per­so­nen­da­ten, weil die Post­Fi­nan­ce die Daten (im Zusam­men­hang mit dem E‑Cockpit) nicht für eige­ne oder frem­de Zwecke aus­wer­te­te. Die Pra­xis geht denn auch davon aus, dass mög­li­che Rück­schlüs­se nicht genü­gen, jeden­falls nicht ohne Berück­sich­ti­gung des kon­kre­ten Bearbeitungskontexts.